SSL/TLS证书通过加密客户端与服务器之间的连接来保护敏感数据。而且,拥有一个有效的SSL/TLS证书也是当今互联网的趋势要求。为了提高安全性并让您的客户放心,我们强力建议使用SSL/TLS证书来保护Plesk和Plesk邮件服务器的安全。本主题主要阐述如何使用来自Let’s Encrypt的免费SSL/TLS证书、购自证书机构的SSL/TLS证书或者自签名SSL/TLS证书来保护Plesk和Plesk邮件服务器的安全。

在安装过程中,Plesk和Plesk邮件服务器都会自动受到免费的自签名SSL/TLS证书的保护。这样会加密Plesk和Plesk邮件服务器之间的连接,对其进行保护,例如,保护密码不至于在传输过程中被截获。但是自签名的SSL/TLS证书本身有一个缺点。任何人访问使用自签名SSL/TLS证书保护的Plesk服务器都会收到警告信息,告诉他们网站不可信,这样可能会引起访客担心访问的安全。为了避免该问题的出现,我们建议使用免费的Let’s Encrypt SSL/TLS 证书或购自证书机构的SSL/TLS证书来保护Plesk和Plesk邮件服务器的安全。

Note: 如果您使用一个SSL/TLS证书保护Plesk邮件服务器的安全,请确保使用连接邮件服务器时签发证书所用的域名,并建议您的客户也照此操作。否则,邮件客户端软件可能无法识别邮件服务器的身份,在收发邮件时可能会出现问题。

使用 Let’s Encrypt 证书保护 Plesk 和邮件服务器的安全

Let’s Encrypt 是一个开源式证书机构,能够提供免费的 SSL/TLS 证书。通过免费的 Let’s Encrypt 扩展 能够轻松地使用 SSL/TLS 证书保护 Plesk 和 Plesk 邮件服务器的安全。

当您安装或升级 Let’s Encrypt 扩展时,如果当时是通过一个自签名证书保护 Plesk 安全的,那么该扩展则会自动使用一个有效的 Let’s Encrypt SSL/TLS 证书替换该自签名证书。该扩展不会自动保护 Plesk 邮件服务器的安全。

如果您想要用 Let’s Encrypt 的证书替换某个证书机构签发的有效证书,可通过以下步骤来实现。

若要使用 Let’s Encrypt 的证书保护 Plesk 和邮件服务器的安全,请如下操作:

  1. 如果未安装 Let’s Encrypt 扩展 ,请首先安装该扩展。

  2. 转入 工具与设置 > SSL/TLS 证书 (在 “安全” 下)。

  3. 点击 + Let’s Encrypt 按钮。

  4. 请务必确保在”电子邮件地址”栏中填入的邮箱地址是正确的。该邮箱地址将用于发送重要的通知信息。

  5. 点击 安装

    到此步骤,则已生成 Let’s Encrypt 的证书,并自动使用该证书保护 Plesk 的安全。

  6. 若要保护邮件服务器的安全,请点击”用于保护邮件安全的证书“旁边的 [更改] 链接。

  7. 从下拉框列表中选择 “Lets Encrypt 证书(服务器池)” ,然后点击 确定

现在 Plesk 和 Plesk 邮件服务器则都受到了 Let’s Encrypt 证书的保护。

image-78764.png

Note: 在 Plesk for Linux 中,当 Let’s Encrypt 替换默认的自签名证书时,在 工具与设置 > SSL/TLS 证书 中,用于保护 Plesk 安全的证书名称则被更改为 “Lets Encrypt 证书”。在 Plesk for Windows 中,只有在进入 工具与设置 > SSL/TLS 证书 页面中重新加载后默认的证书名称才会被更改为 “Lets Encrypt 证书”。

使用其它证书机构的证书保护 Plesk 和邮件服务器的安全

除了 Let’s Encrypt,您还可以使用其它证书机构的 SSL/TLS 证书保护 Plesk 和 Plesk 邮件服务器的安全。

若要使用其它证书机构的证书保护 Plesk 和邮件服务器的安全,请如下操作:

  1. 进入 工具与设置 > SSL/TLS 证书 (在 “安全” 下)点击 + 添加 按钮

  2. 填写标有星号的字段。请特别注意下面各个字段:

    • “证书名称” 给证书起一个辨识度高的名称,以与服务器库中的其它证书相区别。
    • “比特” 比特数越多,证书越安全。我们建议使用默认值 (4096)。
    • “域名”  请务必确保在该字段中填入的名称与服务器主机名相匹配。
  3. 如果所有填入的信息都准确无误,请点击 请求

    Plesk 将生成一个私钥和证书签名请求,并将其在 “服务器池中的证书列表” 下显示。

  4. 在 “服务器池中的证书列表” 下找到证书并点击其名称。即会打开显示该证书属性的页面。

复制 “CSR” 部分的所有内容(包括 -----BEGIN CERTIFICATE REQUEST—– 和 -----END CERTIFICATE REQUEST----- )到剪切板。

  1. 访问您所选的证书机构的网站并开始订购证书。当提示您提供 CSR 时,请从剪切板粘贴数据。证书机构将会根据您提供的信息创建 SSL/TLS 证书。接收到 SSL/TLS 证书后,请将其保存到本机或本地网络上。
  2. 进入 工具与设置 > SSL/TLS 证书 ,点击 选择文件 (在 “在此处上传证书” 下),选择已保存的 .crt 文件,然后点击 上传证书
  3. 若要保护 Plesk 的安全,请点击 “用于保护 Plesk 安全的证书” 旁的 [更改] 链接。从下拉列表中选择在第 3 步骤中生成的证书,然后点击 确定
  4. 若要保护邮件服务器的安全,请在 “用于保护邮件安全的证书” 旁重复上一个步骤。

使用自签名证书保护 Plesk 和邮件服务器的安全

如我们之前所说,自签名的 SSL/TLS 证书永远不会被信任。所以最好使用 Let’s Encrypt 的 SSL/TLS 证书和其它证书机构的付费证书。但是,如果需要也可以使用自签名证书保护 Plesk 和邮件服务器的安全。

若要使用自签名证书保护 Plesk 和邮件服务器的安全,请如下操作:

  1. 进入 工具与设置 > SSL/TLS 证书 (在 “安全” 下)点击 + 添加 按钮
  2. 填写标有星号的字段。请特别注意下面各个字段:
    • “证书名称” 给证书起一个辨识度高的名称,以与服务器库中的其它证书相区别。
    • “比特” 比特数越多,证书越安全。我们建议使用默认值 (4096)。
    • “域名”  请务必确保在该字段中填入的名称与服务器主机名相匹配。
  3. 如果所有填入的信息都准确无误,请点击 自签名 。Plesk 将会生成一个自签名证书,且会在 “服务器池中的证书列表” 下显示。
  4. 若要保护 Plesk 的安全,请点击 “用于保护 Plesk 安全的证书” 旁的 [更改] 链接。从下拉列表中选择在上一步骤中生成的证书,然后点击 确定。
  5. 若要保护邮件服务器的安全,请在 “用于保护邮件安全的证书” 旁重复上一个步骤。